“An toàn thẻ ngân hàng - Quản trị rủi ro trong kỷ nguyên số”: Hướng tới hệ sinh thái thanh toán an toàn và bền vững

Ngày 26-27/9/2025, tại TP. Huế, Chi Hội Thẻ Hiệp hội Ngân hàng Việt Nam tổ chức Chương trình Kỷ niệm 15 năm thành lập (2010-2025) và Hội nghị thường niên Tiểu ban Quản lý rủi ro năm 2025 với chủ đề “An toàn thẻ ngân hàng – Quản trị rủi ro trong kỷ nguyên số”.

Tham dự chương trình về phía khách mời có: ông Lê Anh Dũng – Phó Vụ trưởng Vụ Thanh toán, Ngân hàng Nhà nước; ông Phạm Bá Nam – Phó Giám đốc Chi nhánh Ngân hàng Nhà nước khu vực 9; ông Hoàng Ngọc Bách – Trưởng phòng 4, A05, Bộ Công an.

Về phía Hiệp hội Ngân hàng Việt Nam có: ông Nguyễn Quốc Hùng – Phó Chủ tịch kiêm Tổng Thư ký; ông Nguyễn Minh Tâm – Phó Chủ tịch Chi Hội thẻ; ông Nguyễn Minh Phương - Trưởng Tiểu ban Quản lý rủi ro - Chi Hội thẻ; ông Nguyễn Ngọc Quý - Nguyên Trưởng Tiểu Ban Quản lý rủi ro - Chi hội thẻ

Tham dự chương trình còn có đại diện lãnh đạo các tổ chức thẻ quốc tế, một số đối tác và các hội viên Chi Hội Thẻ, cơ quan báo chí.

Trong bối cảnh chuyển đổi số diễn ra mạnh mẽ trên toàn cầu, ngành Ngân hàng Việt Nam đã và đang chứng kiến sự phát triển vượt bậc của các dịch vụ thanh toán điện tử, đặc biệt là thanh toán thẻ. Tuy nhiên, song hành với sự tiện lợi là những thách thức ngày càng phức tạp về rủi ro và an ninh an toàn trong thanh toán.

Các hình thức tấn công ngày càng gia tăng và tinh vi hơn

Trao đổi về bức tranh tổng quan tình hình rủi ro thẻ tại Chương trình Hội nghị, ông Nguyễn Minh Phương – Trưởng Tiểu ban Quản lý rủi ro Chi hội Thẻ – cho biết tình hình rủi ro trong hoạt động thẻ thời gian qua diễn biến khá phức tạp, các hình thức tấn công, gian lận, đặc biệt là gian lận công nghệ cao ngày càng gia tăng và tinh vi hơn.

Trong đó, gian lận thanh toán trực tuyến là một trong những tiêu điểm rủi ro chính của năm 2025, đáng chú ý là xu hướng tội phạm lợi dụng tài khoản công ty để gia tăng các hoạt động lừa đảo. Cùng với đó là các gian lận trục lợi trên Google và Facebook vẫn tiếp diễn với thủ đoạn tinh vi, có tổ chức.

Gian lận bằng số hóa thẻ (như GooglePay, SamsungPay, ApplePay) cũng là một xu hướng rủi ro nổi bật. Theo đó, đối tượng lừa đảo khách hàng cung cấp thông tin thẻ, OTP để số hóa thẻ trên các ví điện tử, sau đó thực hiện giao dịch gian lận liên tiếp giá trị cao.

Cũng theo ông Phương, rủi ro đối với thẻ quốc tế cũng có nhiều diễn biến phức tạp trong năm 2025. Các vấn đề ghi nhận nổi bật như: Giao dịch thẻ UPI liên quan đến tội phạm công nghệ cao và rửa tiền xuyên biên giới bùng phát trở lại vào quý I/2025; Tiếp diễn hiện tượng cấu kết giữa đối tượng gian lận và chủ đơn vị chấp nhận thanh toán (ĐVCNTT) để thực hiện giao dịch từ thẻ bị ăn cắp/lộ thông tin; Thiết bị chấp nhận thanh toán thẻ có dấu hiệu di chuyển khỏi địa bàn kinh doanh, thậm chí ra nước ngoài để thực hiện giao dịch gian lận; Ghi nhận các điểm nghi ngờ lộ dữ liệu, bao gồm Google, Agoda…

Thống kê của ông Phương cũng chỉ ra xu hướng dịch chuyển trong gian lận thẻ nội địa và ATM. Theo đó, trong khi các hình thức tấn công trực tuyến và số hóa tăng, một số rủi ro truyền thống có dấu hiệu giảm. Cụ thể, gian lận ATM Skimming được ghi nhận suy giảm. Nguyên nhân của sự suy giảm này được lý giải có liên quan đến việc Ngân hàng Nhà nước ban hành Công văn 1099/NHNN-TT yêu cầu dừng sử dụng dải từ (thẻ từ), có hiệu lực từ ngày 1/7/2025. Bên cạnh đó, còn ghi nhận có sự dịch chuyển đối với tệp khách hàng mà đối tượng gian lận hướng đến giữa các ngân hàng.

Phân tích và làm rõ hơn về tình hình tội phạm thẻ trong nước, ông Hoàng Ngọc Bách, Trưởng phòng 4, A05, Bộ Công an cho biết, bên cạnh những thủ đoạn gian lận đã biết như lợi dụng công nghệ Skimming, Phishing và việc sử dụng các thiết bị giả trạm phát sóng (BTS giả), lực lượng chức năng phát hiện các đối tượng tiếp tục có thêm thủ đoạn mới. Nổi bật trong đó là thủ đoạn được các chuyên gia và giới an ninh mạng gọi tên “Ghost Tap”.

Theo đó, thủ đoạn của các đối tượng sử dụng gồm 5 bước: Bước 1: Phát tán tin nhắn giả mạo SMS Brandname ngân hàng kèm link dẫn tới website giả; Bước 2: Thu thập thông tin về thẻ ngân hàng, mã OTP; Bước 3: Sử dụng thông tin thẻ, mã OTP để liên kết với ứng dụng Apple Pay, Google Pay trên điện thoại của đối tượng; Bước 4: Chuyển tiếp lưu lượng NFC đến các thiết bị di động trên toàn thế giới; Bước 5 Thanh toán không chạm giao dịch mua bán hàng hóa, dịch vụ tại nước ngoài.

Các số liệu thống kê đang ghi nhận sự gia tăng tính tinh vi của tội phạm với ứng dụng trí tuệ nhân tạo (AI). Điều này cũng được khẳng định trong phần trình bày của các chuyên gia đến từ các tổ chức thẻ quốc tế như Union Pay, JCB, Visa, Master Card…

Theo đó, tội phạm đang triệt để áp dụng các công nghệ AI và dữ liệu lớn để tăng cường mức độ phức tạp của các vụ lừa đảo. Nổi bật là các vụ lừa đảo có xu hướng sử dụng AI để tấn công tâm lý và thao túng hành vi người dùng. Các ứng dụng AI gọi điện lừa đảo đã được ghi nhận và tăng mạnh; Sử dụng Voice Cloning (giả giọng) và Deepfake để tạo ra các video hoặc người giả mạo giống như giám đốc để yêu cầu phê duyệt giao dịch; Sử dụng BOT tự động để tạo hàng nghìn giao dịch dò tìm thông tin thẻ; AI học và phân tích hành vi của khách hàng để thực hiện giao dịch gian lận; AI giúp tạo ra các danh tính tổng hợp (synthetic identities) để mở tài khoản tại ngân hàng.

Vẫn tiếp tục ghi nhận các vụ tấn công mã độc và xâm nhập dữ liệu: Xu hướng tấn công an ninh mạng (đánh cắp dữ liệu) và tấn công mã độc (app, website ngân hàng) tăng mạnh. Malware (mã độc) là thủ đoạn tấn công đang tăng trưởng nhanh nhất ở Đông Nam Á, tăng 47% trong nửa đầu năm 2025 so với nửa cuối năm 2024.

Tấn công Ransomware (mã độc tống tiền) và xâm nhập dữ liệu vẫn là một rủi ro nhức nhối, tăng đột biến hơn 51% vào cuối năm 2024 so với 6 tháng trước đó.

Cần những giải pháp chủ động, linh hoạt và kịp thời

Tại Chương trình Hội nghị, bên cạnh việc phân tích và làm rõ các nguy cơ rủi ro trong thanh toán, phần trình bày của các diễn giả đều tập trung đưa ra các giải pháp để phòng ngừa rủi ro gian lận với mong muốn hướng tới một hệ sinh thái thanh toán an toàn và bền vững. Các đề xuất tập trung vào hoàn thiện hành lang pháp lý, ứng dụng công nghệ thông minh (AI/Dữ liệu lớn) và tăng cường hợp tác liên ngành/liên quốc gia.

Điều này cũng được ông Nguyễn Minh Tâm, Phó Chủ tịch Chi hội thẻ nhấn mạnh trong phát biểu tại Chương trình Hội nghị: “trong lĩnh vực tài chính – ngân hàng, rủi ro là điều không thể tránh khỏi. Chính vì vậy, việc duy trì một hệ thống quản trị rủi ro hiệu quả, linh hoạt và kịp thời là yếu tố sống còn”.

Từ góc độ cơ quan quản lý Nhà nước, ông Lê Anh Dũng - Phó Vụ trưởng Vụ Thanh toán Ngân hàng Nhà nước, đã chia sẻ định hướng và hành động của Ngân hàng Nhà nước (NHNN) về quản trị rủi ro đối với nghiệp vụ thanh toán nói chung và thanh toán thẻ nói riêng. Theo đó, NHNN đã và đang triển khai các biện pháp củng cố khuôn khổ pháp lý để tăng cường an toàn, phòng chống rủi ro ngay từ tuyến đầu.

Đơn cử mới nhất là việc sửa đổi quy định về mở và sử dụng tài khoản thanh toán. Ông Dũng chỉ ra một số điểm mới tại Thông tư số 25/2025/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư số 17/2024/TT-NHNN ban hành ngày 31/8/2025 quy định việc mở và sử dụng tài khoản thanh toán tại tổ chức cung ứng dịch vụ thanh toán. Đáng chú ý có thay đổi quan trọng về trình tự thủ tục mở tài khoản thanh toán tại ngân hàng, chi nhánh ngân hàng nước ngoài là việc bổ sung thêm yêu cầu gặp mặt trực tiếp và đối chiếu thông tin sinh trắc học của chủ tài khoản, người đại diện đối với khách hàng cá nhân, người đại diện hợp pháp đối với khách hàng tổ chức trong trường hợp mở tài khoản thanh toán tại quầy (trong đó có quy định loại trừ với một số khách hàng tổ chức) và việc kiểm tra xác minh thông tin số điện thoại trong trường hợp khách hàng đăng ký sử dụng tài khoản thanh toán bằng phương tiện điện tử.

Ngân hàng, chi nhánh ngân hàng nước ngoài phải có trách nhiệm hướng dẫn khách hàng sử dụng đúng số hiệu và tên tài khoản thanh toán trong thỏa thuận mở và sử dụng tài khoản thanh toán khi thực hiện giao dịch thanh toán; phải tổ chức thực hiện và tuân thủ đầy đủ quy định nội bộ về mở và sử dụng tài khoản thanh toán của ngân hàng, chi nhánh ngân hàng nước ngoài.

Trước đó trong năm 2024, NHNN cũng đã có quy định bắt buộc triển khai xác thực đa yếu tố (MFA) đối với dịch vụ trực tuyến và áp dụng MFA cho giao dịch trực tuyến có rủi ro cao. Các giải pháp xác thực mạnh tương đương như 3-D Secure, OTP, sinh trắc học cũng được yêu cầu áp dụng.

Trong bối cảnh tội phạm sử dụng AI ngày càng tinh vi, việc ứng dụng AI và dữ liệu lớn được coi là chìa khóa để có thể linh hoạt và chủ động phòng chống gian lận hiệu quả.

Theo ông Lê Anh Dũng NHNN đã xây dựng kho dữ liệu tập trung để thu thập thông tin về các tài khoản thanh toán, thẻ ngân hàng, ví điện tử có dấu hiệu nghi ngờ gian lận hoặc vi phạm pháp luật. Về những kết quả ban đầu trong triển khai thí điểm hệ thống giám sát các tài khoản thanh toán, ví điện tử nghi ngờ gian lận, giả mạo (SIMO) ông Dũng cho biết, SIMO thiết lập cơ chế chia sẻ dữ liệu này tới các ngân hàng và tổ chức trung gian thanh toán, giúp chủ động cảnh báo và ngăn chặn giao dịch bất thường trước khi thiệt hại xảy ra.

“Kết quả thí điểm ban đầu của SIMO tại 5 ngân hàng, tính đến đầu tháng 9/2025 cho thấy đã có hơn 391 nghìn lượt khách hàng dừng hoặc hủy giao dịch sau khi nhận được cảnh bảo, ngăn chặn tổn thất với tổng số tiền hơn 1,5 nghìn tỷ đồng. Thời gian tới NHNN sẽ mở rộng kết nối đến toàn bộ hệ thống ngân hàng và tổ chức trung gian thanh toán”, ông Dũng thông tin.

Về ứng dụng AI/Machine Learning trong phòng ngừa gian lận, giải pháp được các chuyên gia đề xuất là linh hoạt sử dụng mô hình AI tiên tiến (kết hợp Machine Learning và Deep Learning) để phân tích hành vi giao dịch của khách hàng, nhận diện các mẫu bất thường (tần suất giao dịch cao, thay đổi đột ngột về địa điểm, hoạt động từ thiết bị không đáng tin cậy).

AI giúp xử lý dữ liệu theo thời gian thực (trung bình dưới 1/5 giây) và sử dụng "quy tắc mờ" (fuzzy rules) để khó bị tội phạm vượt qua hơn các quy tắc cứng (Rule base); Phát hiện sớm và chủ động phần mềm độc hại, xâm nhập, hoặc chiếm quyền trên thiết bị di động của khách hàng ngay khi mở ứng dụng (App); Phát hiện gian lận giả mạo ngay từ khâu Onboarding (như fake face, fake voice, fake device).

Trong các giải pháp được đề xuất, các ý kiến đều thống nhất rằng hợp tác và chia sẻ thông tin kịp thời là yếu tố then chốt, vì thủ đoạn tội phạm thường nhắm vào mắt xích yếu nhất là các khoảng trống thông tin.

Do vậy rất cần việc phối hợp liên ngành và liên quốc gia: Đơn cử như thiết lập các Trung tâm chống lừa đảo tập trung (Anti-scam centers). Tại Trung Quốc, đã có cơ chế hợp tác cấp quốc gia giữa công an và ngân hàng bao gồm Trung tâm Chống Gian lận Quốc gia (NAFC) và Ủy ban Hợp tác An ninh Thẻ Ngân hàng (BSCC).

Tăng cường hợp tác giữa các tổ chức tài chính và viễn thông để ngăn chặn các vụ lừa đảo xuất phát từ tin nhắn giả mạo/trạm thu phát sóng giả; hay như chia sẻ thông tin liên ngành (với các công ty sản xuất điện thoại, viễn thông, và cơ quan quản lý dữ liệu công); Tăng cường hợp tác với cơ quan công an để kịp thời phát hiện và xử lý tội phạm.

Theo đại diện Tiểu ban Quản lý rủi ro, việc kịp thời chia sẻ thông tin, cập nhật xu hướng rủi ro mới và ứng dụng nền tảng Dữ liệu như xây dựng các báo cáo gian lận; Tổ chức thường xuyên các diễn đàn, hội thảo chuyên đề để trao đổi, chia sẻ kinh nghiệm quản trị rủi ro sẽ mang lại những ý nghĩa thiết thực.

Từ góc độ nghiệp vụ của mình, đại diện Bộ Công an ông Hoàng Ngọc Bách nêu một số khuyến nghị với các ngân hàng, tổ chức tài chính, đó là: (i) Đầu tư đảm bảo an ninh, an toàn hệ thống thông tin, phòng chống tấn công mạng, mã độc, mã hóa dự liệu, lộ mất thông tin thẻ tín dụng; (ii) Thiết lập quy định giám sát hệ thống, kịp thời ngăn chặn những trường hợp mới thêm thẻ vào Google Pay, Apple Pay nhưng có phát sinh giao dịch tại nước ngoài; (iii) Rà soát, kiểm tra kỹ các tổ chức ký hợp đồng làm đại lý ngân hàng để phát triển thẻ, POS, phòng ngừa, ngăn chặn các trường hợp lợi dụng để thu thập trái phép thông tin thẻ của khách hàng; (iv) Tăng cường công tác xác minh thông tin khách hàng, quản lý, giám sát giao dịch đáng ngờ của tài khoản, thẻ ngân hàng, kịp thời báo cáo cho cơ quan có thẩm quyền; (v) Tăng cường công tác truyền thông, khuyến cáo khách hàng bảo vệ thông tin, không cung cấp OTP cho người lạ.

Sắp ban hành Sổ tay hướng dẫn phối hợp hỗ trợ xử lý rủi ro đối với tài khoản/thẻ/đơn vị liên quan đến giao dịch chuyển tiền/thanh toán nghi ngờ gian lận giả mạo, lừa đảo

Tại hội nghị, một trong những nội dung được các đại biểu quan tâm trao đổi là việc Ban hành Sổ tay hướng dẫn phối hợp hỗ trợ xử lý rủi ro tài khoản/thẻ/đơn vị liên quan đến giao dịch chuyển tiền/thanh toán nghi ngờ gian lận giả mạo, lừa đảo (Sổ tay hướng dẫn).

Chia sẻ tại Hội nghị, Phó Chủ tịch kiêm Tổng Thư ký Hiệp hội Ngân hàng Việt Nam Nguyễn Quốc Hùng cho biết, xuất phát từ thực tế các hành vi gian lận ngày càng tinh vi, xâm phạm trực tiếp đến tài sản của khách hàng, Hiệp hội Ngân hàng Việt Nam đã nhận thấy sự cần thiết phải ban hành một bộ Sổ tay hướng dẫn phối hợp xử lý gian lận giữa các tổ chức thành viên.

“Ban đầu, chúng tôi chưa nghĩ đến quy mô toàn diện, mà chỉ đơn giản là cần có một cơ chế phối hợp rõ ràng, thay vì chỉ gọi điện nhờ vả lẫn nhau như trước đây”, ông Hùng nêu rõ.

Thực tế cho thấy, khi xảy ra sự cố, nhiều ngân hàng không biết xử lý ra sao, chỉ có thể trả lời khách hàng một cách đơn giản: “Tiền đã đi rồi, không lấy lại được”. Điều này làm giảm niềm tin của khách hàng đối với ngân hàng và ngân hàng cũng không thể bảo vệ quyền lợi của khách hàng đến cùng.

"Tại cuộc họp cuối năm 2023, chúng tôi đã cùng các đơn vị thành viên, đại diện Ngân hàng Nhà nước và các cơ quan chức năng thảo luận rất cụ thể về trách nhiệm trong việc quản lý tài khoản và dòng tiền. Từ đó, chúng tôi thống nhất cần có quy trình phối hợp rõ ràng, minh bạch", Phó Chủ tịch kiêm Tổng Thư ký Hiệp hội Ngân hàng Việt Nam Nguyễn Quốc Hùng thông tin.

Về phía pháp luật, khi xảy ra vụ việc, quy trình báo cáo rất phức tạp: phải báo công an quận nơi xảy ra giao dịch, kèm theo xác nhận của ngân hàng về thời điểm và nội dung giao dịch. Có trường hợp mất cả tháng để hoàn tất thủ tục, trong khi tiền đã bị tiêu hết từ lâu. Điều này cho thấy sự thiếu đồng bộ trong phối hợp và xử lý.

Phó Chủ tịch kiêm Tổng Thư ký Hiệp hội Ngân hàng Việt Nam cho biết, Hiệp hội đã tổ chức nhóm công tác để khảo sát, xây dựng quy trình phối hợp, từ việc ghi nhận giao dịch nghi ngờ, thông báo nội bộ, đến báo cáo chính thức cho cơ quan chức năng.

Sau 3 tháng làm việc hết sức nghiêm túc, với sự tham gia tích cực của các thành viên Ban soạn thảo Tổ công tác xây dựng Sổ tay hướng dẫn, Hiệp hội đã hoàn thiện nội dung Sổ tay, lấy ý kiến từ các thành viên Hội đồng, các tổ chức hội viên... Một số ý kiến pháp lý được tiếp thu, giải thích rõ ràng và Hiệp hội Ngân hàng Việt Nam cũng đã xin ý kiến từ các cơ quan như Ngân hàng Nhà nước Việt Nam (Vụ Thanh toán, Vụ Pháp chế), Bộ Công an, Viện Kiểm sát, Tòa án và Bộ Tư pháp để đảm bảo tính pháp lý đầy đủ. "Hiện nay, Sổ tay đã được thông qua và đang chờ ký ban hành", ông Nguyễn Quốc Hùng cho biết.

Ông Nguyễn Quốc Hùng khẳng định, Sổ tay hướng dẫn được ban hành với mong muốn giúp các tổ chức tín dụng, các cơ quan quản lý (như Ngân hàng Nhà nước) và các cơ quan chức năng khác có một quy trình chuẩn để phối hợp hiệu quả khi xảy ra các giao dịch đáng ngờ.

Ông Hùng cũng cho biết, ngay sau khi ban hành Sổ tay hướng dẫn, Hiệp hội Ngân hàng sẽ tổ chức các buổi tập huấn, truyền thông đến tận các giao dịch viên và sẽ tiếp tục tổ chức hội thảo, hội nghị chuyên đề để cập nhật, xử lý các vướng mắc phát sinh trong thực tế triển khai.

“Chúng tôi tin rằng, một tổ chức đơn lẻ không thể tự bảo vệ mình trước các rủi ro công nghệ cao. Chỉ khi có sự liên kết, phối hợp đồng bộ từ trung ương đến các đơn vị cơ sở, chúng ta mới có thể xây dựng một hệ thống thanh toán an toàn, hiệu quả. Chúng tôi mong muốn, khi Sổ tay được ban hành, sẽ có sự đồng thuận và triển khai rộng rãi trong các tổ chức hội viên", ông Nguyễn Quốc Hùng bày tỏ.

Nguồn: thitruongtaichinhtiente.vn